Linux系统安全笔记

https://insecure.org/
https://sectools.org/
SecTools.Org:排名前125的网络安全工具

http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-desktop/l-harden-desktop-pdf.pdf
增强 Linux 桌面安全性

https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/index.html
https://www.ibm.com/developerworks/cn/education/linux/l-harden-server/l-harden-server-pdf.pdf
增强 Linux 服务器

-----恶意软件有哪些---------------------------------
https://en.wikipedia.org/wiki/Linux_malware

Malware(恶意软件)是 malicious software 的简称。
任何以破坏计算机系统或网络为目的的程序都是恶意软件。

1 Botnets 僵尸网络;
2 Ransomware 勒索软件;
3 Rootkits;
4 Trojan 木马;
5 Virus 病毒;
6 Worms 蠕虫;
7 Spyware 间谍程序等.

-----防范及检测软件-----------------------------------
ClamAV® is an open source antivirus engine for detecting trojans, viruses, malware & other malicious threats
ClamAV 是一种开源防病毒引擎,用于检测特洛伊木马,病毒,恶意软件和其他恶意威胁
https://www.clamav.net/
The latest stable release is 0.101.0; 2018-12-03 15:59:09 UTC

rkhunter
http://rkhunter.sourceforge.net/
Rootkit Hunter release 1.4.6 (February 20th 2018)

http://www.chkrootkit.org/
chkrootkit 0.52现已推出!(发布日期:2017年3月15日)
chrootkit 是一个在本地检查rootkit标志的工具。它包含:
chkrootkit:shell脚本,用于检查系统二进制文件以进行rootkit修改。
ifpromisc.c:检查接口是否处于混杂模式。
chklastlog.c:检查l astlog删除。
chkwtmp.c:检查wtmp删除。
check_wtmpx.c:检查wtmpx删除。(仅限Solaris)
chkproc.c:检查LKM特洛伊木马的迹象。
chkdirs.c:检查LKM特洛伊木马的迹象。
strings.c:快速和脏字符串替换。
chkutmp.c:检查utmp删除。

大多数反病毒软件不能与其他反病毒程序同时运行,但是 rootkit hunters 却可以。为了得到更全面
的保护,可以安装 chkrootkit,并让它与 rkhunter 一起运行。

-----防病毒软件的安装和使用---------------------------------
https://www.clamav.net/downloads
安装ClamAV:
apt-get install clamav
apt-get install clamav-daemon

如果您需要支持扫描压缩的RAR文件,首先需要启用非自由存档,然后您可以使用以下命令安装RAR插件:
apt-get install libclamunrar6

sudo freshclam //更新病毒定义
sudo freshclam -v //查看是否有新的定义

如果更新时提示如下,说明自动运行并在后台运行
freshclam.log is locked by another process

您可以使用该lsof命令找出正在使用该文件的进程,在您运行的情况下运行:
sudo lsof /var/log/clamav/freshclam.log

如果要停止守护程序并手动运行它:
sudo systemctl stop clamav-freshclam.service
手动运行:
sudo freshclam

clamscan //对主文件夹的手动扫描,并报告有多少目录和文件被扫描。它还会告诉您发现
了多少被感染的文件。
clamdscan //

sudo apt-get install ClamTK //用于 ClamAV 的 GUI
apt-cache show clamtk
要打开 ClamTK,按下 Alt-F2,输入 gksu clamtk,然后单击 Run。这样将以让程序运行所需的权限
启动 ClamACV GUI。

freshclam --datadir=/var/lib/clama/ #指定目录,这是默认目录。

sudo pkill -15 -x freshclam
然后手动运行:
sudo freshclam

但是在这种情况下,您可以使用:
sudo systemctl stop clamav-freshclam.service
停止守护进程。

sudo /etc/init.d/clamav-freshclam stop
sudo freshclam
sudo /etc/init.d/clamav-freshclam start

sudo service clamav-freshclam stop
sudo freshclam
sudo service clamav-freshclam start
sudo service clamav-freshclam status

https://askubuntu.com/questions/909273/clamav-error-var-log-clamav-freshclam-log-is-locked-by-another-process

can't download main.cvd from db.local.clamav.net
如果更新失败,可以手动下载病毒库:

http://database.clamav.net/main.cvd
http://database.clamav.net/daily.cvd
http://database.clamav.net/bytecode.cvd

https://blog.csdn.net/zourzh123/article/details/45719757

clamav的病毒库可以在安装后配置自动升级,也可以按如下方法手动获取:
http://db.cn.clamav.net/daily.cvd

http://db.cn.clamav.net/main.cvd

http://db.cn.clamav.net/safebrowsing.cvd

http://db.cn.clamav.net/bytecode.cvd
---------------------
sigtool的用法

下载的病毒库cvd是由zlib压缩库压缩的文件,前512个bytes是一个特殊的头文件,记录引擎病毒库的简单信息,包括名字、创建时间、版本号、签名数量等,然后一个接
着一个存储病毒库文件。
clamav提供了一个签名工具sigtool,可以查看、生成和解压缩病毒库,在clamav的运行代码中会通过cli_untgz函数解压缩cvd文件,可以通读代码了解详细过程。
1

sigtool -i main.cvd //sigtool查看cvd的信息
sigtool -u main.cvd //sigtool解压缩main.cvd

-----
1. 将如上地址下载的*.cvd文件放到例如:/home/tom/cvd/ 目录下;
2. 在该目录下执行如下命令:(需要安装python,也可使用其他web服务)
python -m SimpleHTTPServer #默认端口为8000
python -m SimpleHTTPServer 80 #指定端口为80
浏览器打开地址:127.0.0.1:8000 应该能看到你下载的cvd文件列表
3. 修改freshclam.conf配置文件
PrivateMirror 127.0.0.1
ScriptedUpdates no

https://www.clamav.net/documents/private-local-mirrors
----------------------------------
sudo apt-get install rkhunter
sudo rkhunter --check //然后按下 Enter 开始扫描
sudo rkhunter --update //Enter,然后输入密码。更新rkhunter版本

扫描可能被安装到桌面上的已知的恶意软件
扫描计算机上常用于后门访问的端口
扫描 startup 文件、组和账户、系统配置文件和文件系统
检查计算机上的应用程序。

---------------------------
sudo apt-get install chkrootkit

sudo chkrootkit //Enter。chkrootkit 立即开始扫描已知的漏洞和恶意软件

如果 rkhunter 或 chkrootkit 发现异常,它们会通知您,但是这些程序不会从计算机中删除文件。
如果该程序向您发出警告,那么可以搜索被报告的漏洞或恶意软件。
首先,确保发现的东西不是误报。
然后,确定采取什么必要的步骤来消除桌面受到的威胁。
有时候,只需更新操作系统或其他软件。
而在某些时候,必须找到恶意的程序,并将它从系统中删除。

------------------------------

Linux系统安全笔记的更多相关文章

  1. Linux系统学习笔记:文件I/O

    Linux支持C语言中的标准I/O函数,同时它还提供了一套SUS标准的I/O库函数.和标准I/O不同,UNIX的I/O函数是不带缓冲的,即每个读写都调用内核中的一个系统调用.本篇总结UNIX的I/O并 ...

  2. Linux系统学习笔记(1)

    学习地址:http://www.runoob.com/linux/linux-tutorial.html 1.学习Windows和Linux哪个比较难? 前期是Windows容易学习,后期是Linux ...

  3. linux系统学习笔记:无死角理解保存的设置用户ID,设置用户ID位,有效用户ID,实际用户ID

    一.基本概念 实际用户ID(RUID):用于标识一个系统中用户是谁,一般是在登录之后,就被唯一的确定,就是登录的用户的uid. 有效用户ID(EUID):用于系统决定用户对系统资源的权限,也就是说当用 ...

  4. Linux系统学习笔记:文件描述符标志

    文件描述符标志的概念 文件描述符标志(目前就只有一个close-on-exec): 它仅仅是一个标志,当进程fork一个子进程的时候,在子进程中调用了exec函数时就用到了这个标志.意义是执行exec ...

  5. Linux 系统裁剪笔记 3

    说到裁减Linux,无非是为了减小磁盘占用或者是为了某些特定场合的应用(如嵌入式系统).以RedHat 7.3为例,其最小安装仍然达到了300M,这不得不让人对一直号称小而全的Linux系统感到疑惑. ...

  6. Linux 系统裁剪笔记 软盘2

    第一步:裁减内核打开终端,输入:cd /usr/src/linux2.4,然后输入make xconfig.现在编译内核正式开始了1.1 "code maturity level optio ...

  7. Linux 系统裁剪笔记1

    1.什么裁剪? 本篇文章的主要目的是让笔者和读者更深的认识Linux系统的运作方式,大致内容就是把Linux拆开自己一个个组件来组装,然后完成一个微型的Linux系统.下面,让我们来实现吧..写的不好 ...

  8. 1.linux系统基础笔记(互斥量、信号量)

    操作系统是很多人每天必须打交道的东西,因为在你打开电脑的一刹那,随着bios自检结束,你的windows系统已经开始运行了.如果问大家操作系统是什么?可能有的人会说操作系统就是windows,就是那些 ...

  9. Linux系统学习笔记

    6.启动python cd /root/yq/v4_1_6309a_btc_nw_cq nohup python3 -u v4_1_6309a_btc_nw_cq.py >> 6309a_ ...

随机推荐

  1. laravel获取当前的url以及当前的基础域名方法汇总

    原文地址:https://phpartisan.cn/news/58.html 来源于:laravel获取当前的url以及当前的基础域名方法汇总 - Laravel学习网 laravel中我们常常需要 ...

  2. log4net 2.0.8 不支持core 数据库记录日志

    经过反编译log4net 标准库的代码,原本有的数据库链接AdoNetAppender 在core里面引用的,没有掉了. 可能新版本会有.

  3. 【模板】AC自动机(简单版)

    我:“woc...AC自动机?” 我:“可以自动AC???” 然鹅... 大佬:“傻...” 我:“(⊙_⊙)?” 大佬:“缺...” 我:“......” (大佬...卒 | 逃...) emm.. ...

  4. matlab中diff的用法

    若是diff(),括号里的元素为向量,那么前一个减后一个即为diff后的结果: 若diff(),括号里的元素为矩阵,那么下一行减上一行即为diff 后的结果:

  5. POJ - 2635 E - The Embarrassed Cryptographer

    The young and very promising cryptographer Odd Even has implemented the security module of a large s ...

  6. Codeforces Round #506 (Div. 3) D. Concatenated Multiples

    D. Concatenated Multiples You are given an array aa, consisting of nn positive integers. Let's call ...

  7. L305 发邮件15分钟

    发个邮件-不用那么纠结-把事情讲清楚就好-限制在15分钟写完-长的邮件25分钟-难点是讲清楚细节-比如软件调试bug-DFM-这里有些专业词汇 发现问题:发给客户的There are some qua ...

  8. java学习笔记27(File类)

    File类: 定义:文件和目录径的抽象表示形式, Java中将路径或者文件封装成File对象 1.File类的静态成员变量 package com.zs.Demo2; import java.io.F ...

  9. Js代码一些要素

    ---恢复内容开始--- 条件语句 is(条件){ 语句 }else { 语句 } {}在js中我们把他叫代码块.如果代码块里内容没有执行完,语句就不会向下执行. 代码块是一个独立的整体.如果js中莫 ...

  10. laravel 部署 前后端分离

    1. iis服务器配置(web.config): <configuration> <system.webServer> <rewrite> <rules> ...